使用SFTD/ASA和云服务提供商配置eBGP HA

简介

本文档介绍使用外部边界路由协议(eBGP)连接云服务提供商(CSP)的高可用性。

先决条件

要求

Cisco 建议您了解以下主题：

• BGP路径选择

配置

防火墙上有两个eBGP对等体，可为云服务提供商提供高可用性。由于CSP仅限于BGP操作，因此无法从CSP端选择主要和辅助对等体。

图1.图解

步骤

步骤1: 在开始防火墙配置之前，请定义哪个对等体用作主对等体。

步骤2.对主要对等体中的传入流量使用本地优先级150（默认本地优先级为100）。

步骤3.使用辅助对等体中的传出流量前面的AS路径。

ASA上的配置

主要对等体中的传入流量的本地首选项：

route-map primary_peer_in permit 10
set local-preference 150

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.10.2 route-map primary_peer_in in

辅助对等体中的传出流量的AS路径预置：

route-map secondary_peer_out permit 10
set as-path prepend 65521 65521

router bgp 65521
address-family ipv4 unicast
neighbor 10.10.20.2 route-map secondary_peer_out out

SFMC上的配置

主要对等体中的传入流量的本地首选项：

步骤1.单击对象，然后单击Route Map。

步骤2.选择已分配给BGP对等体的路由映射，在其中应用本地首选项，或通过点击Add Route Map添加新路由映射。

步骤3.配置路由映射的名称，然后点击Entries部分下的Add。

图2.在SFMC上添加路由映射

步骤4.至少配置以下基本设置：

• 序号。选择序号的编号。
• 重分发。选择Allow。

图3.SFMC上的基本路由映射配置

步骤5.单击Set Clauses、BGP Clauses、Others。在Local Preference部分中设置本地优先级150。

图4.SFMC上的本地首选项配置

步骤6.单击Add，然后Save。

步骤7.单击Device，然后单击Device Management，选择要应用本地首选项的设备。

步骤8.单击Routing，然后单击BGP部分中的IPv4，然后单击Neighbor。

步骤9.单击主邻居的编辑图标，然后在Filtering Routes部分上，从Incoming traffic in Route Map部分的下拉菜单中选择路由映射。

图5.在主对等体上配置本地首选项

步骤11.单击确定，然后保存。

辅助对等体中的传出流量的AS路径预置：

步骤1.单击对象，然后单击Route Map。

步骤2.选择已分配给BGP对等体的路由映射，以应用AS路径预置，或通过点击Add Route Map添加新路由映射。

步骤3.配置路由映射的名称，然后点击Entries部分下的Add。

图6.在SFMC上添加路由映射

步骤4.至少配置以下基本设置：

• 序号。选择序号的编号
• 重分发。选择Allow

图7.SFMC上的基本路由映射配置

步骤5.单击Set Clauses、BGP Clauses、AS Path,然后单击AS Path。根据以下内容配置预置选项：

• 预置AS路径。将要添加的AS添加到以逗号分隔的路径中。

图8.SFMC上的AS路径预置配置

步骤6.单击Add，然后Save。

步骤7.单击Device，然后单击Device Management，选择要应用AS路径预置的设备。

步骤8.单击Routing，然后单击BGP部分中的IPv4，然后单击Neighbor。

步骤9.单击辅助邻居的编辑图标，然后在Filtering Routes部分上，从Outgoing traffic in the Route Map部分的下拉菜单中选择路由映射。

图9.在辅助对等体上配置AS路径预置

步骤4.单击确定，然后单击Save。

FDM上的配置

辅助对等体中的传出流量的AS路径预置：

步骤1.单击设备，然后在高级配置部分中单击查看配置。

步骤2.在Smart CLI部分中点击对象，然后点击(+)按钮。

步骤3.按如下所示配置CLI对象：

图10.在FDM上配置AS路径预置对象

步骤10.单击确定。

主要对等体中的传入流量的本地首选项：

步骤1.单击设备，然后在高级配置部分中单击查看配置。

步骤2.在Smart CLI部分中点击对象，然后点击(+)按钮。

步骤3.按如下所示配置CLI对象：

图11.在FDM上配置本地首选项对象

步骤4.单击确定。

将路由映射配置到BGP配置中：

步骤1.单击Device，然后单击Routing部分中的View Configuration。

步骤2.单击BGP，然后点击新BGP对等体的(+)按钮，或点击现有BGP对等体的编辑按钮。

步骤3.配置BGP对象，如下所示：

图12.在FDM上配置BGP对等体

步骤4.单击确定。

验证

验证AS路径预置和本地首选项已配置并分配给对等体：

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
Password:
firepower#
firepower# show route-map Local_Preference_RM
route-map Local_Preference_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    local-preference 150


firepower# show route-map AS_Path_Perepend_RM
route-map AS_Path_Perepend_RM, permit, sequence 10
  Match clauses:

  Set clauses:
    as-path prepend 65521 65521


firepower# show running-config router bgp
router bgp 65521
bgp log-neighbor-changes
bgp router-id 10.10.10.10
bgp router-id vrf auto-assign
address-family ipv4 unicast
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 description Primary
 neighbor 10.10.10.2 transport path-mtu-discovery disable
 neighbor 10.10.10.2 activate
 neighbor 10.10.10.2 route-map Local_Preference_RM in
 neighbor 10.10.20.2 remote-as 65000
 neighbor 10.10.20.2 description Secondary
 neighbor 10.10.20.2 transport path-mtu-discovery disable 
 neighbor 10.10.20.2 activate
 neighbor 10.10.20.2 route-map AS_Path_Perepend_RM out
 redistribute connected
 no auto-summary
 no synchronization
exit-address-family

在验证路由表之前，请清除BGP对等体：

clear bgp 10.10.10.2 soft in
clear bgp 10.10.20.2 soft out

注意：使用soft命令可避免重置整个对等体，而仅重新发送路由更新。

  

使用先前设置的本地首选项验证主对等体上的传出流量：

firepower# show bgp
BGP table version is 76, local router ID is10.10.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale, m multipath
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop        Metric LocPrf Weight  Path
*  10.0.4.0/22      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?
*  10.2.4.0/24      10.10.20.2           0             0  65000 ?
*>                  10.10.10.2           0    150      0  65000 ?

  

验证路由表中安装的BGP前缀是否来自主要对等体：

firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set

B        10.0.4.0 255.255.252.0 [20/0] via 10.10.10.2, 01:04:17
B        10.2.4.0 255.255.255.0 [20/0] via 10.10.10.2, 01:04:17

相关信息

• 思科技术支持和下载